

Versicherung muss Garmin Ransomware-Lösegeld erstatten
2. Oktober 2023 um 14:11Nach einem Urteil des Bundesgerichts muss der Versicherer für die bezahlte Summe aufkommen. Garmin wurde 2020 attackiert, es geht um Millionen Franken.
Im Juli 2020 sorgte ein Cyberangriff auf das schweizerisch-amerikanische Unternehmen Garmin für Aufsehen. Besitzer konnten ihre Fitness-Smartwatches von Garmin nicht mehr synchronisieren. Telefon- und Mailsystem des Unternehmens fielen aus. Auch die Luftfahrt war durch den Ausfall der Software Flygarmin betroffen.
Vermutet wurden hinter dem Angriff die Hacker-Gruppe Evilcorp und der Einsatz der Ransomware "Wastedlocker". Schon bald hiess es, dass Garmin seinen Erpressern via ein Drittunternehmen mehrere Millionen Dollar bezahlt habe, um den Schlüssel für die Entschlüsselung seiner Systeme zu erhalten. Die Zahlung sei über das Security-Unternehmen Arete Incident Response erfolgt.
Lösegeld von 13,5 Millionen Franken
Ein Urteil des Schweizer Bundesgerichts bestätigt jetzt die Lösegeldzahlung. "Die Klägerin (Garmin) sah sich gezwungen, den Betrieb ihrer Callcenter, Webseiten und einiger Online-Dienste einzustellen. Ein Dechiffriercode (um die verschlüsselten Dateien wieder verwenden zu können) wurde von den Angreifern erst nach Zahlung eines Lösegelds in Höhe von 1500 Bitcoins in Aussicht gestellt", heisst es im Urteil. Dies entsprach damals ungefähr 13,5 Millionen Franken.
Garmin beauftragte laut Bundesgericht "eine auf Risikomanagement spezialisierte Firma" mit den Verhandlungen und wandte sich an seine Versicherer, um eine Rückerstattung der Lösegeld-Summe zu erhalten. Die Garmin-Systeme waren 5 Tage blockiert, was dem Unternehmen einen geschätzten Schaden von 15 Millionen US-Dollar verursachte.
Versicherung berief sich auf US-Sanktionen
Eine der Versicherungen – eine britische Gesellschaft – weigerte sich zu zahlen. "Die Klägerin ist gegen Cyberangriffe versichert, wobei die Beklagte Mitversicherin der Police ist. Gemäss der Police ist jede Versicherung gemeinsam mit den anderen, aber nicht solidarisch für ihren gezeichneten Anteil leistungspflichtig. Die Beklagte verweigerte als Einzige die Zahlung", so das Urteil.
Die Versicherung berief sich auf einen Vorbehalt im Versicherungsvertrag, der Leistungen ausschliesst, wenn dadurch Sanktionen durch die US-Behörden drohen. Sie ging ebenfalls davon aus, dass der Angriff von Evilcorp durchgeführt wurde.
Es handelt sich dabei um eine Gruppe russischer Hacker, die auf einer Sperrliste des US-Finanzministeriums standen. Die Versicherung stützte ihre Annahme auf die Ransomware Wastedlocker, die der von dieser Gruppe verwendeten Malware ähnlich ist und auf die an den Tag gelegte Vorgehensweise.
Keine "konkreten Ausführungen" zum Cyberangriff
Diese Begründung wurde vom Zürcher Handelsgericht zurückgewiesen. Es erachtete die vom Versicherer herangezogenen Indizien nicht als unwiderlegbare Rückschlüsse auf die Beteiligung von Evilcorp.
Die Beschwerdeführerin behaupte zwar einige Übereinstimmungen zwischen den Ransomwares sowie der Modi Operandi. Es bleibe aber bei unsubstantiierten Behauptungen, schreibt das Bundesgericht. Insbesondere fehle es an konkreten Ausführungen zum Cyberangriff. Das Gericht urteilt, dass der Vergleich der Programmcodes "nämlich auf der Prämisse basiere, dass die Ransomwares – auch nachdem sie bereits im Umlauf seien – exklusiv von derjenigen Gruppe eingesetzt und weiterentwickelt würden, die sie auch ursprünglich programmiert haben". Zudem sei nicht nachgewiesen, dass eine Versicherungsleistung an Garmin zu einer Sanktion durch die Amerikaner führen würde.
Das Bundesgericht stützt sich in seinem Entscheid auf die Argumentation des Handelsgerichts. Es hat die Rügen des Versicherers abgewiesen.
(Mit Material von Keystone-sda)
Möchten Sie uns unterstützen?
Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!
Loading
Regierungen spionieren Bürgerinnen und Bürger mittels Push-Nachrichten aus
Ein US-Senator verlangt, dass Google und Apple es zumindest sagen dürfen, wenn Regierungen von ihnen Daten über Push-Nachrichten einfordern.
Beim NCSC häufen sich die Kündigungen
Vor dem Übergang in ein Bundesamt für Cybersicherheit verlassen Security-Spezialisten die Behörde. Grund könnte auch die Neuausrichtung beim VBS sein.
Windows 10: Bezahlte Security-Updates nach Supportende auch für Consumer
Für frühere Windows-Versionen gab es "Extended Support" nur für Unternehmen. Was der Consumer-Service für Windows 10 aber kosten wird, ist noch nicht bekannt.
UK beschuldigt Russland wegen Cyberangriffen
Laut der britischen Regierung versuchten russische Hacker ab 2015, sich mit Cyberangriffen in die Politik des Landes einzumischen.